Baggrund og Problem
Databeskyttelsesforordningen indeholder regler for, hvordan brud på persondatasikkerheden skal håndteres og pålægger samtidig den dataansvarlige en række forpligtelser.
En af forpligtelserne er, at alle databrud skal anmeldes til Datatilsynet uden unødig forsinkelse og inden 72 timer, medmindre ”det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder”, jf. forordningens artikel 33, stk. 1.
Sondringen mellem anmeldelsespligtige databrud og ikke-anmeldelsespligtige databrud er vanskelig for virksomhederne at håndtere i praksis. Blandt andet fordi der skal foretages en sondring mellem en sandsynlig risiko vs. en usandsynlig risiko, og fordi der savnes en minimumsgrænse for, hvilke ”små” databrud der i al fald ikke skal anmeldes, fordi der er tale om en usandsynlig risiko.
Mange databrud er ”små” forstået på den måde, at de kun berører kun én enkelt person og kun vedrører ikke-følsomme oplysninger, fx kontaktoplysninger. Sådanne databrud skal naturligvis håndteres og indføres i virksomhedens interne dokumentation for brud på persondatasikkerheden (den såkaldte log over samtlige databrud). Dog er det ikke proportionalt – for hver enkelt af sådanne helt ”små” databrud – at opstarte en online anmeldelse uden unødig forsinkelse og inden 72 timer.
Fordi en minimumsgrænse savnes, vælger mange dataansvarlige at holde sig på den sikre side og anmelder hellere for meget end for lidt. Det er ressourcekrævende, da hvert enkelt databrud skal anmeldes særskilt i indberetningsløsningen på virk.dk. Indberetningsløsningen på virk.dk. indeholder et omfattende spørgeskema, som skal udfyldes uden unødig forsinkelse og inden en frist på 72 timer (weekender og helligdage tæller med heri, hvilket i realiteten betyder, at fristen for den ansvarlige medarbejder kan være ganske kort). Spørgeskemaet skal desuden udfyldes i én session. Det er altså ikke muligt at gemme og gå tilbage til anmeldelsen igen på et senere tidspunkt, hvorfor medarbejderen på forhånd skal sikre sig tilstrækkelig med sammenhængende tid til at indgive anmeldelsen.
Anbefaling
Anbefaling
For at lette virksomhedernes byrde med håndtering af simple og klart afgrænsede databrud med oplysninger om én eller ganske få berørte, anbefaler Regelforum, at der indføres en minimumsgrænse for anmeldelse af simple databrud til Datatilsynet.
Minimumsgrænsen skal ideelt set udformes således, at simple og klart afgrænsede databrud i fremtiden ikke længere vil skulle anmeldes til Datatilsynet (herved opnås den største byrdelettelse).
Minimumsgrænsen kan dog også udformes således, at simple og klart afgrænsede databrud i fremtiden vil kunne puljes og samles i en fælles anmeldelse med et vist interval (herved opnås også en byrdelettelse).
Simple og klart afgrænsede databrud er eksempelvis, hvor ikke-følsomme oplysninger er sendt til den forkerte modtager, og hvor de fremsendte oplysninger kun vedrører én enkelt person, fx kontaktoplysninger på denne person. Typeeksemplet på sådanne databrud er en menneskelig fejltastning af en enkelt e-mailadresse.
Potentiale
En minimumsgrænse for anmeldelse af simple databrud har potentiale til at lette GDPR-byrden på tværs af sektorer. Alle danske virksomheder – store som små – skal nemlig i dag anmelde alle databrud til Datatilsynet uden unødig forsinkelse og inden 72 timer, medmindre ”det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder”, jf. databeskyttelsesforordningens artikel 33, stk. 1.
Relevant regulering
Den relevante regulering er databeskyttelsesforordningens artikel 33, stk. 1, som bestemmer:
”Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.”
Regeringens svar
Svar til Regelforum
Anbefalingen er behandlet i delrapport II om national evaluering af databeskyttelsesreglerne, som Justitsministeriet afgav den 1. juli 2021 til Folketingets Europaudvalg (EUU Alm. del, bilag 685, 2020-21).
Heraf fremgår det bl.a., at medlemsstaterne ikke er efterladt mulighed for at fastsætte begrænsninger i forhold til databeskyttelsesforordningens artikel 33. På den baggrund vil der efter Justitsministeriets vurdering ikke kunne fastsættes en anden minimumsgrænse eller frist for, hvornår der skal ske anmeldelse til Datatilsynet om brud på persondatasikkerheden, end den, der allerede følger af artikel 33.
Af Datatilsynets bidrag til ovennævnte delrapport II fremgår bl.a., at det efter Datatilsynets opfattelse ikke vil være foreneligt med reglerne i databeskyttelsesforordningens artikel 33 at indføre en bagatelgrænse, hvor mindre sikkerhedsbrud undtages fra anmeldelsespligten. Datatilsynet er derudover af den opfattelse, at intern dokumentation og anmeldelse til tilsynet – uanset bruddets karakter – varetager en række saglige hensyn i den dataansvarliges arbejde med at styrke informationssikkerheden.
Herudover fremgår det af Datatilsynets bidrag til delrapport II, at Datatilsynet er opmærksom på, at ressourceforbruget ved håndtering af intern dokumentation og anmeldelse af brud til tilsynet er ressourcekrævende. Datatilsynet er derfor ved at undersøge løsninger, som vil lette ressourceforbruget ved anmeldelser af brud. Endvidere vil Datatilsynet se på en revision af vejledningen om håndtering af brud på persondatasikkerheden med henblik på at supplere med flere konkrete eksempler, og tilsynet vil i den forbindelse også præcisere dokumentationskravet.
Der henvises til delrapportens afsnit 2.2. og 5.3.2. samt punkt 5 i Datatilsynets bidrag til erfaringsindsamlingen.